Marketplace de Detecção de Ameaças da SOC Prime – Preparando-se para Explorar
SOC Prime Threat Detection Marketplace (SOC Prime TDM) é uma biblioteca comunitária de conteúdo relevante e acionável de detecção de ameaças que tem unido autores de conteúdo de cibersegurança para defender o ciberespaço e entregar o melhor conteúdo à comunidade há mais de cinco anos. SOC Prime TDM oferece Rule Packs prontos, regras SIGMA testadas, regras YARA, testes RED, regras Snort, parsers, integrando nativamente aplicativos, bem como serviços de suporte para as soluções SIEM, EDR e NTDR mais utilizadas. Mais de 94% do conteúdo do Threat Detection Marketplace está mapeado contra a matriz MITRE ATT&CK® . Cada técnica tem uma lista de plataformas sensíveis à segurança, exemplos de ataques conhecidos, instruções de detecção que, juntamente com o número de regras, visam identificar comportamentos suspeitos e proteger a infraestrutura da empresa.
Procurar por conteúdo de detecção de ameaças no SOC Prime TDM com mais de 100k regras é muito mais fácil do que procurar uma agulha no palheiro, embora possa não parecer. Melhoramos as capacidades de busca com a opção de configuração de perfil. O Rule Master permite personalização flexível para exibir o conteúdo que melhor atende aos requisitos de segurança da sua empresa especificando informações sobre o ambiente, para que você seja informado sobre o conteúdo mais adequado, recomendável e atualizado primeiro. No entanto, o Rule Master não obriga você a procurar regras que apenas atendem à configuração do seu perfil. Você pode facilmente ligar/desligar esta opção no painel de filtros.
Além disso, o painel de filtros permite exibir conteúdo que atende a certos critérios: plataformas, OS, fontes de log, fontes de dados, executor, autores de conteúdo, etc. Você pode indicar o tipo de conteúdo necessário, tipo de disponibilidade de conteúdo, ou até mesmo especificar o tipo de regra Sigma – IOC, Pesquisa de ameaças ou Conformidade. Se você procura por conteúdo focado na metodologia MITRE, você pode filtrar o conteúdo que está mapeado contra determinados Atores, Ferramentas, Táticas ou Técnicas.
Não menos importante entre todas as ferramentas de busca disponíveis no SOC Prime é o painel de busca. Superficialmente, parece ser bastante simples e óbvio – você pode digitar o que está procurando e ele sugere o conteúdo TMD destacando sua categoria. Mas aprimoramos o painel de busca com capacidades de busca do Elastic Stack, nomeadamente a opção de sintaxe de consulta Lucene, tornando possível especificar os nomes dos campos, executar curingas, embedar expressões regulares, usar o operador “fuzzy”, especificar a distância de edição de palavras especificadas com buscas por proximidade, usar o operador de impulso, agrupamento, caracteres reservados, etc. Leia mais sobre a sintaxe de consulta Lucene aqui: https://tdm.socprime.com/search/how-to-use-lucene/
Você já tem uma conta no Threat Detection Marketplace? Conte-nos sobre sua experiência ao procurar por conteúdo de detecção de ameaças no SOC Prime. Junte-se agora ao maior Marketplace de Detecção de Ameaças do mundo ou publique seu próprio conteúdo com o Programa Threat Bounty da SOC Prime!
